最近,我们将网站移到了 WAF 后面。过去的请求是Browser > CDN > Load Balancer > Server,现在是Browser > WAF > CDN > Load Balancer > Server。从那时起,HTTP Basic Auth 将不会在大多数时间跨请求持续存在。
如此多的请求链接正在像REMOTE_ADDR和之类的标头上做一个数字HTTP_X_FORWARDED_FOR。但是,我们确实有一些标头(主要来自 WAF)确实正确存储了原始请求者的 IP。
- 假设 HTTP Basic Auth 仅在来自同一 IP 的请求中持续存在是否正确?
- 如果是这样,有没有办法通过
.htaccess它应该使用哪个标头来指示它? - 如果没有,我可以从哪里开始寻找调试这个问题?